Definición
Son normas o reglas que regulan la forma en que una
organización previene, protege y maneja los riesgos de daños sobre la
información, los equipos informáticos y de comunicaciones, el software
y las personas. Estas expresan y documentan la posición de la
organización frente al tema de seguridad.
En las políticas, la organización expresan el qué
de seguridad para la organización y a través de los procesos,
procedimientos y manuales de documentación expresan el cómo se
ejecutan las políticas.
Algo importante es que aunque las políticas
expresan la posición de la empresa en cuanto a seguridad, son lo
suficientemente generales para que cobijen sus lineamientos y se
espera que esta posición no cambie permanentemente, si se espera que
las políticas sean dinámicas en el sentido que se estudien y evalúen
permanentemente para determinar su pertinencia y si es el caso
adicionar, modificar o eliminar políticas debido a nuevas necesidades
o cambios en el ambiente en el cual se encuentra inmerso la
organización.
Los objetivos de una organización al definir sus
políticas de seguridad son:
-
Informar a los usuarios (de todos los niveles)
las normas que se deben cumplir para proteger los recursos
informáticos
-
Ser una herramienta guía para la auditoría
-
Determinar el grado de importancia de los
recursos informáticos
-
Ser la guía para la implantación de herramientas
de seguridad
Políticas de seguridad física
Las políticas de seguridad física son los
lineamientos de la empresa sobre todo lo relacionado con el acceso,
bienestar y control de los recursos tangibles (“tocables”) dentro de
la organización. Se deben tener en cuenta aspectos tales como:
-
Acceso a los equipos
-
Bloqueo de los equipos
-
Detección y protección de incendios
-
Corriente estabilizada
-
Flujo eléctrico
-
Cableado de la red
-
Mantenimiento de equipos
-
Comidas, bebidas y cigarrillo
-
Condiciones ambientales adecuadas
-
Identificación de equipos
-
Acceso a zonas de almacenamiento de HW y SW
-
Protección de la documentación
-
Contingencias y respaldo
-
Personas
Políticas de seguridad Lógica
Las políticas de seguridad Lógica tiene como
objetivo garantizar que todos los equipos de la red, las aplicaciones
y los datos solo sean accedidos y en general usados por personal
autorizado
Se debe tener en cuenta aspectos relacionados con:
cuentas de usuario, passwords, perfiles de usuario, backups, acceso a
aplicaciones y bases de datos, sistemas en desarrollo o en
mantenimiento, sistemas operativos, actualización de sistemas, puesta
en funcionamiento de nuevas aplicaciones, pruebas de seguridad para
sistemas operativos, aplicaciones y bases de datos, bitácoras,
archivos del sistema, planes de continuidad, entre otros.
Para la creación de las políticas se deben
identificar: elementos a proteger (personas, HW, SW, información,
documentos), amenazas, personas que accedan la información y sus
responsabilidades, niveles de protección requeridos y sitios de
acceso.
Al momento de definir las políticas recuerde:
-
Una recomendación muy importante es
especificarlas claramente y no hacerlas “incumplibles” o “no
implantables”.
-
No olvide las normas legales: Las políticas de
seguridad que se definan al interior de la empresa no pueden ir en
contra de las leyes de cada país, por ejemplo: Definir una política
de poder ver toda la información que tiene un empleado en el correo
electrónico, pues esto podría ir en contra del derecho a privacidad
o intimidad del mismo.
-
Fecha y versión: Al definir el documento de
políticas es importante que siempre se coloquen estos datos porque,
como vimos antes, las políticas son dinámicas y es importante saber
en cual documento se encuentran las políticas que rigen la seguridad
en el momento y no tener inconvenientes de tener empleados que se
están rigiendo por un documento viejo o por uno que hasta ahora está
en construcción.
Claudia Patricia Santiago Cely
Escuela Colombiana de Ingeniería “Julio Garavito”